logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
Nouvelle recommandation de la CNIL sur le vote électronique

xx Actualité sociale xx


Actualité sociale

Nouvelle recommandation de la CNIL sur le vote électronique

La CNIL a adopté le 25 avril 2019 une recommandation « relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet ». Désormais publiée au Journal officiel, elle abroge et remplace la recommandation du 21 octobre 2010 et s'appliquera aux élections du CSE organisées à compter du 21 juin 2020.

30/09/2019 Les Cahiers Lamy du CSE, nº 196, Octobre 2019

Rappel préliminaire : les principales dispositions applicables au vote électronique

Aux termes de l'article L. 2314-26 du code du travail, l'élection du CSE peut avoir lieu par vote électronique. Une telle modalité doit résulter d'un accord d'entreprise ou de groupe ou, à défaut, d'une décision de l'employeur. Ce recours vaut aussi, le cas échéant, pour les élections partielles se déroulant en cours de mandat. (C. trav., art. R. 2314.5). Le vote électronique a lieu sur le lieu de travail ou à distance, et n'exclut pas la mise en place d'un vote physique à bulletins secrets.

Remarque :
la CNIL relève que le vote électronique ne cesse de se développer, notamment via internet.

La conception et la mise en place du système de vote électronique peuvent être confiées à un prestataire choisi par l'employeur sur la base d'un cahier des charges fixé par voie réglementaire. Une cellule d'assistance technique doit être mise en place et, bien entendu, toutes les dispositions propres à assurer la sécurité, la sincérité et la confidentialité des votes doivent être prises. c'est dans ce domaine que la recommandation de la CNIL présente des avancées majeures.

Principales dispositions de la recommandation du 25 avril 2019

L'objet

La nouvelle recommandation ne concerne pas les dispositifs de vote par codes-barres, les dispositifs de vote par téléphone fixe ou mobile, ni les systèmes informatiques mis à disposition des votants sous forme de boîtiers de vote ou en isoloirs (dites « machines à voter »). Elle est destinée à fixer, de façon pragmatique, les objectifs de sécurité que doit atteindre tout dispositif de vote par correspondance électronique. Elle ne se limite pas aux seules élections du CSE.

Elle a notamment pour objet d'éclairer les responsables de traitement sur le choix des dispositifs de vote par correspondance électronique à retenir.

L'identification du niveau de risque

Les entreprises qui souhaitent recourir au vote électronique doivent identifier le niveau de risque de l'opération. Pour ce faire, la CNIL met à la disposition du responsable du traitement une grille d'analyse (accessible sur son site internet).

• Niveau 1 : Les sources de menace, parmi les votants, les organisateurs du scrutin ou les personnes extérieures, ont peu de ressources et peu de motivations. L'administrateur (ou les administrateurs) du système d'information n'est ni électeur, ni candidat. Il est considéré comme neutre par toutes les parties. Ce niveau s'applique pour les scrutins impliquant peu d'électeurs, se déroulant dans un cadre non conflictuel, à l'issue duquel les personnes élues auront peu de pouvoirs, comme par exemple l'élection d'un représentant de classe. Le scrutin ne présente pas de risques importants.

• Niveau 2 : Les sources de menace, parmi les votants, les organisateurs du scrutin, les personnes extérieures, au sein du prestataire ou du personnel interne, peuvent présenter des ressources moyennes ou des motivations moyennes. Ce niveau s'applique à des scrutins impliquant un nombre important d'électeurs et présentant un enjeu élevé pour les personnes mais dans un contexte dépourvu de conflictualité particulière. Il s'agit par exemple des élections de représentants du personnel au sein d'organismes ou encore au sein d'un ordre professionnel. Le scrutin présente un risque modéré.

• Niveau 3 : Les sources de menace, parmi les votants, les organisateurs du scrutin, les personnes extérieures, au sein du prestataire ou du personnel interne, peuvent présenter des ressources importantes ou de fortes motivations. Ce niveau concerne les scrutins impliquant un nombre important d'électeurs et présentant un enjeu très élevé, dans un climat potentiellement conflictuel. Il s'agit par exemple d'élections de représentants du personnel au sein d'organisations importantes, à grande échelle et dans un cadre conflictuel. Le scrutin présente un risque important.

Une fiche pratique accompagne la recommandation pour guider les responsables. Elle présente des questions simples et fermées permettant de se positionner sur l'échelle de risque. En cas de doute entre deux niveaux, il convient d'opter pour le plus élevé.

Remarque :
le choix du niveau de risque par le responsable de traitement sera évalué par l'expert indépendant mandaté pour garantir la conformité des opérations de vote à la recommandation.

Une fois le niveau de risque identifié, le responsable du traitement peut déterminer les objectifs de sécurité devant être atteints par la solution de vote.

La détermination des objectifs à atteindre

Chaque niveau de risque se voit associer des objectifs de sécurité qui permettent de définir le niveau de sécurité attendu. Ces objectifs sont cumulables, le niveau 2 étant composé d'objectifs de sécurité spécifiques et des objectifs de sécurité du niveau 1, le niveau 3 étant, quant à lui, composé d'objectifs de sécurité spécifiques et des objectifs de sécurité des deux niveaux précédents.

La CNIL fournira une fiche pratique présentant des exemples permettant d'atteindre ces objectifs. Elle pourra être complétée par des propositions de fournisseurs de solutions de système de vote.

Les solutions de vote dont le scrutin présente un risque de niveau 1 doivent atteindre a minima l'ensemble des objectifs de sécurité suivants :

• Objectif de sécurité no 1-01 : Mettre en œuvre une solution technique et organisationnelle de qualité ne présentant pas de faille majeure (faille publiée par l'éditeur et/ou rendue publique par des tiers).

• Objectif de sécurité no 1-02 : Définir le vote d'un électeur comme une opération atomique, c'est-à-dire comme comportant de manière indivisible le choix, la validation, l'enregistrement du bulletin dans l'urne, l'émargement et la délivrance d'un récépissé.

• Objectif de sécurité no 1-03 : Authentifier les électeurs en s'assurant que les risques majeurs liés à une usurpation d'identité sont réduit de manière significative.

• Objectif de sécurité no 1-04 : Assurer la stricte confidentialité du bulletin dès sa création sur le poste du votant.

• Objectif de sécurité no 1-05 : Assurer la stricte confidentialité et l'intégrité du bulletin pendant son transport.

• Objectif de sécurité no 1-06 : Assurer, de manière organisationnelle et/ou technique, la stricte confidentialité et l'intégrité du bulletin pendant son traitement et son stockage dans l'urne jusqu'au dépouillement.

• Objectif de sécurité no 1-07 : Assurer l'étanchéité totale entre l'identité de votant et l'expression de son vote pendant toute la durée du traitement.

• Objectif de sécurité no 1-08 : renforcer la confidentialité et l'intégrité des données en répartissant le secret permettant le dépouillement exclusivement au sein du bureau électoral et garantir la possibilité de dépouillement à partir d'un seuil de secret déterminé.

• Objectif de sécurité no 1-09 : Définir le dépouillement comme une fonction atomique utilisable seulement après la fermeture du scrutin.

• Objectif de sécurité no 1-10 : Assurer l'intégrité du système, de l'urne et de la liste d'émargement.

• Objectif de sécurité no 1-11 : S'assurer que le dépouillement de l'urne puisse être vérifié a posteriori.

Les solutions de vote dont le scrutin présente un risque de niveau 2 doivent atteindre a minima l'ensemble des objectifs de sécurité du niveau 1 ainsi que les suivants :

• Objectif de sécurité no 2-01 : Assurer une haute disponibilité de la solution.

• Objectif de sécurité no 2-02 : Assurer un contrôle automatique de l'intégrité du système, de l'urne et de la liste d'émargement.

• Objectif de sécurité no 2-03 : Permettre le contrôle automatique par le bureau électoral de l'intégrité de la plateforme de vote pendant tout le scrutin.

• Objectif de sécurité no 2-04 : Authentifier les électeurs en s'assurant que les risques majeurs et mineurs liés à une usurpation d'identité sont réduits de manière significative.

• Objectif de sécurité no 2-05 : Assurer un cloisonnement logique entre chaque prestation de vote de sorte qu'il soit possible de stopper totalement un scrutin sans que cela ait le moindre impact sur les autres scrutins en cours.

• Objectif de sécurité no 2-06 : Utiliser un système d'information mettant en œuvre les mesures de sécurité physique et logique recommandées par les éditeurs et l'ANSSI.

• Objectif de sécurité no 2-07 : Assurer la transparence de l'urne pour tous les électeurs.

Les solutions de vote dont le scrutin présente un risque de niveau 3 doivent atteindre a minima l'ensemble des objectifs de sécurité des niveaux 1 et 2, ainsi que les suivants :

• Objectif de sécurité no 3-01 : Étudier les risques selon une méthode éprouvée afin de définir les mesures les plus adéquates au contexte de mise en œuvre.

• Objectif de sécurité no 3-02 : Permettre la transparence de l'urne pour tous les électeurs à partir d'outils tiers.

• Objectif de sécurité no 3-03 : Assurer une très haute disponibilité de la solution de vote en prenant en compte les risques d'avarie majeure.

• Objectif de sécurité no 3-04 : Permettre le contrôle automatique et manuel par le bureau électoral de l'intégrité de la plateforme pendant tout le scrutin.

• Objectif de sécurité no 3-05 : Assurer un cloisonnement physique entre chaque prestation de vote de sorte qu'il soit possible de stopper totalement un scrutin sans que cela ait le moindre impact sur les autres scrutins en cours.

Le responsable de traitement ou son prestataire sont libres d'utiliser toute solution leur permettant d'atteindre les objectifs de sécurité énoncés.

Quel que soit le niveau déterminé, il convient de fournir aux électeurs, en temps utile, une note explicative détaillant clairement les opérations de vote ainsi que le fonctionnement général du système de vote par correspondance électronique, notamment via Internet.

Cette notice explicative ne se substitue pas à l'information requise par le RGPD s'agissant du traitement des données.

La mise en œuvre d'une expertise

Tout responsable de traitement mettant en œuvre un système de vote par correspondance électronique, notamment via Internet, doit faire expertiser sa solution par un expert indépendant, que la solution de vote soit gérée en interne ou fournie par un prestataire.

L'expertise doit couvrir l'intégralité du dispositif installé avant le scrutin (logiciel, serveur, etc.), la constitution des listes d'électeurs et leur enrôlement et l'utilisation du système de vote durant le scrutin et les étapes postérieures au vote (dépouillement, archivage, etc.).

Le vote

Les heures d'ouverture et de fermeture du scrutin électronique doivent pouvoir être contrôlées par les membres du bureau de vote et les personnes désignées ou habilitées pour assurer le contrôle des opérations électorales.

L'électeur doit pouvoir choisir une liste, un candidat ou un vote blanc de façon à ce que ce choix apparaisse clairement à l'écran, indépendamment de toute autre information. Il doit avoir la possibilité de revenir sur ce choix. Il valide ensuite son choix et cette opération déclenche l'envoi du bulletin de vote dématérialisé vers le serveur des votes. L'électeur reçoit alors la confirmation de son vote et dispose de la possibilité de conserver trace de cette confirmation.

Dans le cas où le scrutin est mixte, composé d'un vote par correspondance électronique associé à un vote par correspondance papier par exemple, il convient que le vote électronique permette aux électeurs les mêmes possibilités que celles offertes par le vote papier, telle que la possibilité de voter nul ou blanc lorsque cela est prévu pour un scrutin, afin de ne pas créer de distorsion en fonction du moyen utilisé. Dans le cas où ces différentes possibilités sont offertes à l'électeur, il convient d'être attentif au fait qu'une personne ne puisse pas voter deux fois, notamment en utilisant le système par correspondance papier et le système par Internet. Ainsi la solution retenue doit permettre d'écarter les votes par correspondance papier d'une personne ayant déjà voté par Internet.

La possibilité d'un contrôle a posteriori

Pour des besoins d'audit externe, notamment en cas de contentieux électoral, le système de vote par correspondance électronique, notamment via Internet, doit pouvoir fournir les éléments techniques permettant au minimum de prouver de façon irréfutable que :

le procédé de scellement est resté intègre durant le scrutin ;
les clés de chiffrement/déchiffrement ne sont connues que de leurs seuls détenteurs ;
le vote est anonyme lorsque la législation l'impose ;
la liste d'émargement ne comprend que la liste des électeurs ayant voté ;
l'urne dépouillée est bien celle contenant les suffrages des électeurs et qu'elle ne contient que ces suffrages ;
aucun décompte partiel n'a pu être effectué durant le scrutin ;
le dépouillement de l'urne peut être vérifié a posteriori et qu'il s'est déroulé de façon correcte.

La conservation des données

Tous les fichiers supports (copies des codes sources et exécutables des programmes et du système sous-jacent, matériels de vote, fichiers d'émargement, de résultats, sauvegardes) doivent être conservés sous scellés jusqu'à l'épuisement des voies et délais de recours contentieux.

Lorsqu'aucune action contentieuse n'a été engagée à l'épuisement des délais de recours, il doit être procédé à la destruction des documents.


Clotilde Savatier, Juriste en droit social

CNIL, délibération no 2019.053 du 25 avril 2019 portant adoption d'une recommandation relative à la sécurité des systèmes de vote par correspondance électronique, notamment via Internet, JO 21 juin.

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »